Goldbackdoor Malware

Por Mezo en Backdoors, Advanced Persistent Threat (APT)

Traducir a:

Un grupo APT (Advanced Persistent Threat) que se cree que tiene vínculos con el gobierno de Corea del Norte ha estado apuntando a los periodistas con una nueva y sofisticada amenaza de puerta trasera llamada malware Goldbackdoor. Las organizaciones de seguridad cibernética rastrean al grupo de piratas informáticos en particular con varios nombres diferentes: APT37, InkySquid, Reaper, ScarCruft y Ricochet Collima.

Se cree que la operación amenazante comenzó en algún momento de marzo de 2022 con el objetivo principal de recopilar información confidencial de los objetivos. Hasta ahora, los investigadores de infosec han identificado que los datos se han tomado de la computadora privada de un exfuncionario de inteligencia de Corea del Sur. La operación comienza con intentos de spear-phishing, donde los piratas informáticos se hacen pasar por la entidad legítima de NK News.

Detalles sobre el software malicioso Goldbackdoor

El análisis de la amenaza realizado por los investigadores ha revelado que Goldbackdoor es un malware de varias etapas con un conjunto ampliado de capacidades amenazantes. Debido a las similitudes significativas y la superposición dentro del código y su comportamiento, los expertos afirman que la nueva amenaza probablemente sea un sucesor del malware Bluelight, uno de los instrumentos dañinos utilizados por APT37 en el pasado.

Los piratas informáticos han dividido la operación de la amenaza en una primera etapa de herramientas y una segunda donde se entrega la carga útil final. Este diseño permite a los atacantes detener la operación después de la infección inicial exitosa de los dispositivos objetivo. También hace que el análisis retrospectivo potencial de la amenaza, después de que las cargas útiles se hayan eliminado de la infraestructura, sea mucho más difícil.

Una vez habilitado, Goldbackdoor brinda a los actores de amenazas la capacidad de ejecutar comandos remotos, filtrar datos, recopilar archivos o descargar archivos adicionales a la máquina violada, establecer rutinas de registro de teclas y más. Los piratas informáticos también pueden indicar a la amenaza que se desinstale de forma remota del sistema comprometido. Para recibir los comandos entrantes de los piratas informáticos, Goldbackdoor utiliza proveedores de servicios en la nube y viene equipado con un conjunto de claves API que le permiten autenticarse contra la plataforma informática en la nube Azure de Microsoft.